Ansichten:

Überprüfen Sie die Berechtigungen erforderlich, um Ressourcen bereitzustellen, und die Berechtigungen, die während des Terraform-Prozesses gewährt werden.

Die folgenden Berechtigungen sind erforderlich, um Trend Vision One Cloud-Sicherheitsressourcen erfolgreich in Ihrem Abonnement bereitzustellen.
  • Für Microsoft Entra ID-Benutzer muss Ihre Anmeldung die folgenden Rollen haben:
    • Anwendungsadministrator
    • Administrator für privilegierte Rollen
  • Für Microsoft Azure-Benutzer muss Ihr Anmelden die folgende oder eine höhere Rolle im Abonnement haben, mit dem Sie sich verbinden:
    • Benutzerzugriffsadministrator
    • Mitwirkender
  • Um Microsoft Defender für Endpunkt-Sammlung oder Azure-Aktivitätsprotokolle zu aktivieren, muss Ihre Microsoft Azure-Anmeldung die folgende Rolle haben:
    • Key Vault Secrets Officer
Der Terraform-Prozess weist sich selbst bestimmte Berechtigungen zu, um die Verbindung mit Cloud-Konten und Trend Vision One Cloud-Sicherheitsdiensten herzustellen. Diese Berechtigungen umfassen die Aktivierung der Cloud-Konten-App und Sicherheitsdienste, um temporäre Anmeldeinformationen zu erhalten und Aufgaben in Ihrer Azure-Cloud-Umgebung abzuschließen.

Erforderliche Azure-Berechtigungen

Funktion
Dienst
Erforderliche Berechtigungen
Kernfunktionen
Azure
  • Microsoft.ContainerService/managedClusters/listClusterUserCredential/action
  • Microsoft.ContainerService/managedClusters/lesen
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleDefinitions/read
  • */lesen
Agentenlose Sicherheitslücken- und Bedrohungserkennung
Azure
Subscription-level permissions
  • Microsoft.ContainerRegistry/registries/generateCredentials/action
  • Microsoft.ContainerRegistry/registries/read
  • Microsoft.ContainerRegistry/registries/pull/read
  • Microsoft.ContainerRegistry/registries/tokens/write
  • Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read
  • Microsoft.ContainerRegistry/registries/scopeMaps/read
  • Microsoft.ContainerRegistry/registries/tokens/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/virtualMachines//lesen
  • Microsoft.HybridCompute/machines//lesen
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Quota/quotas/lesen
Trend Micro resource group-level permissions
Azure definierte Rolle: Mitwirkender
  • Aktionen erlauben: *
  • Microsoft.Authorization/*/Löschen
  • Microsoft.Authorization/*/Write
  • Microsoft.Authorization/elevateAccess/Action
  • Microsoft.Blueprint/blueprintAssignments/write
  • Microsoft.Blueprint/blueprintAssignments/löschen
  • Microsoft.Compute/galleries/share/action
  • Microsoft.Purview/consents/write
  • Microsoft.Purview/consents/delete
  • Microsoft.Resources/deploymentStacks/manageDenySetting/action
  • Microsoft.Subscription/stornieren/aktion
  • Microsoft.Subscription/enable/action
Azure definierte Rolle: AcrPull
  • Microsoft.ContainerRegistry/registries/pull/read
Azure definierte Rolle: Speicher-Blob-Datenbesitzer
  • Microsoft.Storage/storageAccounts/blobServices/containers/*
  • Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*
Trend Micro Storage ID-level permissions
Azure definierte Rolle: Speicher-Blob-Datenleser
  • Microsoft.Storage/storageAccounts/blobServices/containers/read
  • Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read